Zum Hauptinhalt springen
Datenschutz / DSGVO

Löschkonzept

Ein systematischer Plan zur fristgerechten Löschung personenbezogener Daten nach Wegfall des Verarbeitungszwecks.

Das Löschkonzept ist ein zentrales Instrument zur Umsetzung des DSGVO-Grundsatzes der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO) und des Rechts auf Löschung (Art. 17 DSGVO). Es definiert für alle Kategorien personenbezogener Daten verbindliche Löschfristen und legt fest, wann und wie Daten zu löschen oder zu anonymisieren sind, sobald der ursprüngliche Verarbeitungszweck entfallen ist. Ein fehlendes oder unvollständiges Löschkonzept ist einer der häufigsten Datenschutzmängel, die Aufsichtsbehörden in der Prüfpraxis feststellen.

Ein vollständiges Löschkonzept enthält typischerweise: eine Übersicht aller Datenklassen und Datenkategorien, die jeweiligen Aufbewahrungsfristen (sowohl gesetzliche Mindest- als auch Höchstfristen), die Auslöser für den Beginn und das Ende der Aufbewahrungsfrist, die verantwortlichen Stellen für die Durchführung der Löschung sowie die technischen Verfahren zur sicheren Datenlöschung oder -anonymisierung. Dabei sind unterschiedliche gesetzliche Aufbewahrungspflichten zu berücksichtigen: So schreibt das Handelsrecht (§ 257 HGB) eine Aufbewahrungsfrist von bis zu zehn Jahren vor, die steuerrechtliche Aufbewahrungspflicht (§ 147 AO) ebenfalls bis zu zehn Jahre.

Für Compliance Officer bedeutet die Implementierung eines Löschkonzepts eine enge Zusammenarbeit mit der IT-Abteilung, um sicherzustellen, dass Löschprozesse technisch automatisiert oder zumindest systematisch angestoßen werden. Manuelle Löschprozesse sind fehleranfällig und schwer kontrollierbar. Das Löschkonzept sollte regelmäßig überprüft und bei Einführung neuer Systeme oder Verarbeitungstätigkeiten aktualisiert werden. Die Umsetzung der Löschung muss dokumentiert werden, um die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO zu erfüllen.

Rechtliche Grundlage

Art. 17 DSGVO

Praxisbeispiel

Ihr Unternehmen wird von einem Bewerber aufgefordert, seine Bewerbungsunterlagen gemäß Art. 17 DSGVO zu löschen. Als Compliance Officer prüfen Sie anhand des Löschkonzepts, welche Aufbewahrungsfrist für Bewerberdaten gilt: In Ihrem Konzept ist eine sechsmonatige Aufbewahrungsfrist nach Abschluss des Bewerbungsverfahrens festgelegt, um mögliche Diskriminierungsklagen nach dem AGG abzuwehren. Da das Bewerbungsverfahren erst drei Monate zurückliegt, teilen Sie dem Bewerber mit, dass die Daten nach Ablauf der Frist gelöscht werden, und dokumentieren die Anfrage sowie Ihre Entscheidung. Nach Ablauf der sechs Monate wird die Löschung automatisch vom Bewerbermanagement-System durchgeführt und protokolliert.

Häufige Fragen

Ein Löschkonzept ist ein systematischer Plan, der für alle Kategorien personenbezogener Daten verbindliche Löschfristen und -prozesse festlegt. Es hilft Unternehmen, den DSGVO-Grundsatz der Speicherbegrenzung einzuhalten und sicherzustellen, dass Daten nach Wegfall des Verarbeitungszwecks fristgerecht gelöscht werden.
Die Fristen variieren je nach Datenart und geltendem Recht. Handels- und steuerrechtliche Unterlagen müssen häufig bis zu zehn Jahre aufbewahrt werden. Für andere Daten wie Bewerbungsunterlagen, Kundendaten oder Mitarbeiterdaten gelten unterschiedliche Fristen. Das Löschkonzept muss alle relevanten gesetzlichen Aufbewahrungspflichten berücksichtigen.
Ja. Aus der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO ergibt sich die Notwendigkeit, das Löschkonzept schriftlich zu dokumentieren und nachweisen zu können. Aufsichtsbehörden fordern das Löschkonzept regelmäßig im Rahmen von Prüfungen an. Zudem sollte das Löschkonzept als Anlage oder Bestandteil des Verarbeitungsverzeichnisses geführt werden.

So unterstützt preeco Sie

Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.

Mehr erfahren

Verwandte Begriffe

Personenbezogene Daten Betroffenenrechte Verarbeitungsverzeichnis (VVT) Rechenschaftspflicht (Accountability) Datenschutz-Compliance
Zurück zum Glossar